BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

QSecurity月度安全评论(2012年3月):传说中的0day漏洞

| 作者 殷钧钧 关注 0 他的粉丝 发布于 2012年4月10日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

在开始自己回味这个月跟开发安全相关的文章之前,请各位读者先检查一下自己企业和个人Windows操作系统,有没有打上CVE-2012-0002漏洞的补丁。3月13日,微软正式发公布了MS12-020安全公告(http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020),警示所有Windows用户,Windows系统的远程桌面协议(RDP)存在着两个严重的安全漏洞:一个可以造成远程代码执行,另一个则会造成拒绝服务(DoS)。

事实上江湖上关于3389和IIS远程代码执行0day漏洞的传说流传已久,可是只是限于传说而已,谁也没有亲眼见过。见过的人,也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实3389 0day漏洞的存在,算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用(exploit), DoS已经有人完成了PoC。但是远程代码执行至今笔者还没有见到可信的PoC。可以想象有多少Windows Server至今为止还没有打上补丁,这种exploit一旦流出,又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法,贡献了一些有意义的话题。如果对互联网安全感兴趣,那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的PPT下载和在线视频,地址在这里:

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了John Melton的博客。这是位高产的劳模博客作者,本月他又发表了4篇关于Java安全编程的文章,内容涉及Content-Type, XSS, Log Forging和框架安全。值得一读,再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是GitHub的被“攻击”。虽然事实证明这只是某个GitHub用户为了引起官方重视而做的一个小恶作剧,但是依然引发了关于Rails框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后,向大家郑重推荐一个非常好用的web安全训练课程:OWASP Webgoat。这是由OWASP开发的免费开源Web安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务,从而加深对Web安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址:

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了,咱们下月再见。


给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT